アメリカ合衆国国防総省がガイドラインを設定
アメリカ合衆国国防総省(DOD)は、 Cybersecurity Maturity Model Certification(CMMC)ガイドラインの最初のマニュアルをリリースする準備ができています。最近いくつかのドラフトがリリースされており、 12月上旬では0.7が最新になります。
CMMCガイドラインは、政府との契約に取り組みたい組織を規制しています。 したがって、データ侵害の可能性または重大度が低下します。最終的に、これらのガイドラインは政府のプロジェクトに取り組むために必要になるでしょう。
一歩前進
CMMC規制は、政府がサイバー犯罪と戦うために取っている最新の措置です。サイバー犯罪の報告が増え続けているため、 セキュリティを高めるために何ができるか考えています。
CMMCは、 第三者の監査人によって監査および認定されます。第三者機関は5段階レベルで評価します。
レベルの概要
- 基本的なサイバー対策をより高いレベル基盤を構築している
- サイバー対策の成熟度の向上を示し、セキュリティを強化するために行われたアクションを評価する
- セキュリティ要件を満たすために取られたサイバー対策の効果的な制御と実装を認定する
- セキュリティに対する実質的かつ予防的なソリューションを目指す組織向け
- 高度または進歩的なセキュリティ対策を示し、それらの機能を実装および最適化する組織の能力がある
簡単にいうと
組織にサイバーセキュリティの基本的な基盤が整っているか確認するために、細分化して規定を設けている形になります。
レベル5で認定されているという事は、組織が優れたセキュリティ対策を持っているだけではなく、所有しているものをどのように使用するか熟知している事を意味します。ただ設定をしているだけではなく、運営もできている組織という事になります。
最後に
グローバル・ホワイトリスト方式は将来のセキュリティ対策であると、このBLOGで度々ご紹介しています。
何かあってからでは遅いので、まずはCMMCの基本的な一部など導入しやすいところから対策していくのが大切です。